ReanimatoR
24.08.2008, 18:29
Обновлено 27.10.2009
Если Вы держите свой vbulletin форум, то рано или поздно приходится думать о защите Вашего форума. Начнем:
1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х)
Описание: -
Почему?: JelSoft постоянно закрывает всплывшие уязвимости.
2) Переименовываем админку и модерку
Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже не желательно), так как она менее уязвима
Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.
3) Ставим .htaccess на админку:
Описание:
a) если ip статичен, то
Код:
order allow, deny
deny from all
allow from you.ip.add.res
b) Также ставим дополнительный пароль:
Идём по ссылке: _http://vbsupport.org/htaccess.php, заполняем поля и дописываем по инструкции в наш файл htaccess.
Почему?: Дополнительное паролирование админки никогда не помешает.
4) Удаляем файлы и папки:
Описание:
a) Удаляем файлы:
/validator.php(если имеется)
/checksum.md5(если имеется)
b) Удаляем папки:
/install/
Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=)
5) Перемещаем вложения и аватары
Описание:
Идем в админку, далее:
a) Вложения -> Метод хранения вложений
Вложения должны храниться в базе данных
Цитата:
Сейчас вложения сохраняются в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
b) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных
Цитата:
Сейчас изображения хранятся в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
Почему?: Линейка 3.5, если мне не изменяет память давала прямые ссылки на картинки, что ,при неправильной конфигурации хостинга, давало шанс залить через это шелл.
6)Выставляем права на папки
Описание: Если выполнен пункт 5), то теперь смело ставим права на папки custom***** 644, так как они нам тепеорь не нужны(или можете их удалить). Дальше, если Вы устанавливали vbulletin по инструкции, у вас все папке в /(корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644.
Почему?: Затрудняем хакеру заливку шелла.
7) Нигде, никогда, никому не включаем опцию 'Разрешить html'.
Описание: -
Почему?: Возможность XSS атак при включенной функции.
8) Ставим .htaccess на папку includes
Описание: Ставим .htaccess на папку includes следующего содержания:
order allow, deny
deny from all
Почему?:
- если туда каким-либо образом зальют шелл, то не смогут зайти на него.
- если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо.
9) Пихните в дир. с файлами, на которых стоят атрибуты 0777 такой хтаксесс: - (c) kerk _http://vbsupport.org/forum/member.php?u=30
Описание:
Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml
<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.shtm l">
Order allow,deny
Deny from all
</Files>
добавить своих хэндлеров, если необходимо
все, в этой директории никакой из перечисленных скриптов, выполнить нельзя
Почему?: -
10) Устанавливаем хак: http://allcheats.ru/product-firewall_vb_rs.xml
Описание:
Импортируем хак и создаем файл: logfile_worms.txt с правами на запись вебсервера(777)
Почему?: -
Защита от кучи 'плохих' присваиваний переменных:) Подробнее в посте ниже
11) Отредактируйте config.php, впишите id администраторов в поле undeletable user(неудаляемые/неизменяемый пользователи).
Описание:
/vb/includes/config.php. Просто вписать id администраторов, после того когда внесли все необходимые изменения в профиль.
Почему?: -
12) После удаления модов/хаков не забывайте удалять файлы, которые Вы закачали вместе с ними.
Описание: -
Почему?: -
13) Никогда не сохраняйте бэкапы в папке public_html.
Описание: -
Почему?: Они будут доступны для скачивания любому, кто узнает имя бэкапа.
14) Установить плагин "Инспектор файлов". Автор - Ghost (http://www.vbsupport.org/forum/member.php?u=38422)
Описание: Лазая по своим старым скриптам, напоролся на этот продукт -- Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.
INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла "product-gfi.xml".
UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.
З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.
Скачать плагин можно по ссылке: http://allcheats.ru/gfi.zip или http://www.vbsupport.org/forum/showthread.php?t=29131 (необходима регистрация)
Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.
----------
Небольшой итог:
доступ к админке получить достаточно сложно - следовательно залить шелл через админку тоже, значит можно залить шелл через уязвимости воблы, но если лить в инклуды - там есть для некоторых хаков файлы, которые требуют 777- то у нас на папке includes стоит deny from all - шелл не заюзать!
а на остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить при правильной настройке chroot'инга(или как его там- на не совсем трезвую голову вылетело слово)...
также добавилась защита от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS'ки и трояны.
(c) ReanimatoR
Если Вы держите свой vbulletin форум, то рано или поздно приходится думать о защите Вашего форума. Начнем:
1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х)
Описание: -
Почему?: JelSoft постоянно закрывает всплывшие уязвимости.
2) Переименовываем админку и модерку
Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже не желательно), так как она менее уязвима
Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.
3) Ставим .htaccess на админку:
Описание:
a) если ip статичен, то
Код:
order allow, deny
deny from all
allow from you.ip.add.res
b) Также ставим дополнительный пароль:
Идём по ссылке: _http://vbsupport.org/htaccess.php, заполняем поля и дописываем по инструкции в наш файл htaccess.
Почему?: Дополнительное паролирование админки никогда не помешает.
4) Удаляем файлы и папки:
Описание:
a) Удаляем файлы:
/validator.php(если имеется)
/checksum.md5(если имеется)
b) Удаляем папки:
/install/
Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=)
5) Перемещаем вложения и аватары
Описание:
Идем в админку, далее:
a) Вложения -> Метод хранения вложений
Вложения должны храниться в базе данных
Цитата:
Сейчас вложения сохраняются в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
b) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных
Цитата:
Сейчас изображения хранятся в базе данных
, если это не так, то переносим их туда с помощью кнопки 'Вперед'.
Почему?: Линейка 3.5, если мне не изменяет память давала прямые ссылки на картинки, что ,при неправильной конфигурации хостинга, давало шанс залить через это шелл.
6)Выставляем права на папки
Описание: Если выполнен пункт 5), то теперь смело ставим права на папки custom***** 644, так как они нам тепеорь не нужны(или можете их удалить). Дальше, если Вы устанавливали vbulletin по инструкции, у вас все папке в /(корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644.
Почему?: Затрудняем хакеру заливку шелла.
7) Нигде, никогда, никому не включаем опцию 'Разрешить html'.
Описание: -
Почему?: Возможность XSS атак при включенной функции.
8) Ставим .htaccess на папку includes
Описание: Ставим .htaccess на папку includes следующего содержания:
order allow, deny
deny from all
Почему?:
- если туда каким-либо образом зальют шелл, то не смогут зайти на него.
- если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо.
9) Пихните в дир. с файлами, на которых стоят атрибуты 0777 такой хтаксесс: - (c) kerk _http://vbsupport.org/forum/member.php?u=30
Описание:
Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml
<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.shtm l">
Order allow,deny
Deny from all
</Files>
добавить своих хэндлеров, если необходимо
все, в этой директории никакой из перечисленных скриптов, выполнить нельзя
Почему?: -
10) Устанавливаем хак: http://allcheats.ru/product-firewall_vb_rs.xml
Описание:
Импортируем хак и создаем файл: logfile_worms.txt с правами на запись вебсервера(777)
Почему?: -
Защита от кучи 'плохих' присваиваний переменных:) Подробнее в посте ниже
11) Отредактируйте config.php, впишите id администраторов в поле undeletable user(неудаляемые/неизменяемый пользователи).
Описание:
/vb/includes/config.php. Просто вписать id администраторов, после того когда внесли все необходимые изменения в профиль.
Почему?: -
12) После удаления модов/хаков не забывайте удалять файлы, которые Вы закачали вместе с ними.
Описание: -
Почему?: -
13) Никогда не сохраняйте бэкапы в папке public_html.
Описание: -
Почему?: Они будут доступны для скачивания любому, кто узнает имя бэкапа.
14) Установить плагин "Инспектор файлов". Автор - Ghost (http://www.vbsupport.org/forum/member.php?u=38422)
Описание: Лазая по своим старым скриптам, напоролся на этот продукт -- Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.
INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла "product-gfi.xml".
UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.
З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.
Скачать плагин можно по ссылке: http://allcheats.ru/gfi.zip или http://www.vbsupport.org/forum/showthread.php?t=29131 (необходима регистрация)
Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.
----------
Небольшой итог:
доступ к админке получить достаточно сложно - следовательно залить шелл через админку тоже, значит можно залить шелл через уязвимости воблы, но если лить в инклуды - там есть для некоторых хаков файлы, которые требуют 777- то у нас на папке includes стоит deny from all - шелл не заюзать!
а на остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить при правильной настройке chroot'инга(или как его там- на не совсем трезвую голову вылетело слово)...
также добавилась защита от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS'ки и трояны.
(c) ReanimatoR